유심만으론 복제폰 제작 어려워… 만들어도 인증 못해 무용지물[팩트체크]

국내 이동통신 가입자 2500만 명(알뜰폰 포함)을 보유한 SK텔레콤의 유심(USIM) 정보 유출 해킹 사건과 관련해 “내 유심 정보로 불법 복제폰이 양산돼 범죄에 악용되는 것 아니냐” “SK텔레콤이 대응 방안으로 내놓은 유심보호서비스(FDS)가 실효성이 있느냐” 등과 같은 우려의 목소리가 끊이지 않고 있다. SK텔레콤의 무료 유심 교체 서비스 시작 이후 매장에 재고가 부족한 ‘유심 대란’까지 벌어지면서 이용자 불안감은 한층 고조된 양상이다. 그러나 보안 전문가들과 통신 당국 등은 최악의 경우 복제폰이 양산될 수 있으나 유심에는 인적 정보가 포함되지 않은 만큼 피해 발생 가능성은 극도로 낮을 것으로 전망하고 있다.

◇유심 정보 유출만으로 100% 복제폰 양산은 어려워 = 29일 SK텔레콤에 따르면, 유심에는 통신망 운영을 위한 ‘기술적 식별’ 역할을 하는 이동가입자식별번호(IMSI)와 단말기 고유식별번호(IMEI), 유심 인증키 등 정보가 담긴다. 최민희 더불어민주당 의원이 SK텔레콤에서 제출받은 자료에 따르면 해킹 공격을 통해 외부에 유출된 정보는 최대 9.7기가바이트(GB) 분량으로 파악됐다. 다만 성명·주민등록번호·주소 등 인적 정보와는 성격이 다르다. 보안 전문가들 사이에선 현재까지 확인된 유출 정보만으로는 복제폰 양산 가능성은 낮아 공포감이 너무 지나치게 확산한 측면이 있다는 지적이 나온다. 실제로 2023년 LG유플러스에선 가입자 29만여 명의 유심 일부 정보를 비롯해 인적 정보까지 함께 유출된 사건이 발생했지만, 이를 기반으로 복제폰 피해가 따로 신고된 것은 현재까지 없다. 이경호 고려대 정보보호대학원 교수는 “실제로 복제폰이 만들어지더라도 100% 똑같은 쌍둥이폰은 아니다”라고 설명했다.

◇FDS 고도화 시 유심 교체와 동일한 효과 낼 수 있어 = SK텔레콤이 제공 중인 FDS는 유심 교체와는 별개로 개별 고객의 정보 유출 피해를 예방하는 솔루션이다. 유심이 다른 폰에 꽂히면 통신망에 연결되지 않도록 원천 차단할 수 있어 유심 교체와 동일한 효과를 낼 수 있다. SK텔레콤에 따르면, 이날 오전 9시 현재 FDS 누적 가입자 수는 871만 명이다. 권헌영 고려대 정보보호대학원 교수는 “SK텔레콤은 FDS 가입 이후에도 피해가 발생하면 100% 보상하겠다고 공표했는데, 그만큼 막을 수 있다는 자신감 표현으로 보인다”고 말했다.

◇유심 대란 당분간 지속할 수도 = 통신 업계에 따르면, 지난해 국내 휴대전화 번호이동은 약 630만 건으로 이통 3사와 알뜰폰 사업자가 연간 필요한 유심 전체 재고는 최대 500만 개로 추산하고 있다. 이 때문에 당장 공급에 차질이 빚어질 수 있다는 게 중론이다. 다만, 물리적 교체 없이도 소프트웨어적으로 유심을 초기화하는 기술을 개발하면 대란이 조기에 종식될 가능성도 있다. 고학수 개인정보보호위원회 위원장은 이번 해킹 사건의 포렌식 결과가 나오는 시점과 관련해서 “보통 짧게 걸리면 2∼3개월이고 복잡한 경우 1년 이상 걸리기도 한다”고 밝혔다.

◇부산 피해 사건은 별개 사건 가능성 = 부산에서 SK텔레콤 가입자인 60대 남성이 자신도 모르는 사이 알뜰폰이 개통되며 은행 계좌에서 5000만 원이 빠져나가는 피해를 봤다며 신고해 경찰이 수사에 나선 것과 관련, 통신 업계는 이번 해킹 사건과는 무관한 사안으로 예측하고 있다. 통신 업계 관계자는 “통상 계좌 정보와 인적 정보가 동시에 유출돼야만 이 같은 피해가 발생할 수 있다”고 말했다.

김성훈 기자, 김호준 기자